Hackare questi baby monitor IoT è un gioco da ragazzi, rivelano i ricercatori

DiFang

Hackare questi baby monitor IoT è un gioco da ragazzi, rivelano i ricercatori

Compri un baby monitor perchè ti interessi della sicurezza del tuo bambino, e vuoi proteggerlo dai pericoli.

Ma come più e più dispositivi di controllo si collegano ad internet, corriamo il rischio di esporre i nostri bambini a stranieri che potrebbero volerli spiare, ascoltare, ed anche chattare.

I ricercatori di sicurezza Austriaci hanno avvisato questa settimana riguardo agli ultimi baby monitor affetti da una vulnerabilità di sicurezza critica che solleva preoccupazioni sulla privacy molto reali.

Il dispositivo in questione è la Mi-Cam di miSafes, che si descrive come un “Wi-Fi video monitor per tutti”. Integra una videocamera 720P HD, funzione di comunicazione a due vie, e registrazione video locale gratuita – tutto controllato da un’app “user friendly” per smartphones iPhone ed Android.

Secondo i ricercatori di SEC Consult, la Mi-Cam ha un firmware obsoleto vulnerabile a numerose vulnerabilità conosciute. Il risultato è che semplicemente cambiando una singola richiesta HTTP si può permettere ad un attaccante di spiare il bambino o parlare  a chiunque sia vicino.

Nella loro analisi, i ricercatori si sono contentrati sulle comunicazioni tra l’app, il monitor e l’infrastruttura cloud su cui si basano. Hanno trovato lacune in un certo numero di aree:

  1. Gestione della sessione danneggiata & Referenze dirette agli oggetti insicure.
  2. Codice di invalidazione della password cambiata assente
  3. Interfaccia seriale disponibile
  4. Credenziali di default deboli
  5. Enumerazione degli account utente
  6. Software obsoleto e vulnerabile

E anche se le app in sè non erano il principale interesse dei ricercatori, hanno comunque trovato falle. Per esempio, l’app Android usata per controllare la camera è facilmente compromessa:

“Una serie di chiamate API critiche possono essere accedute da un attaccante con sessioni arbitrarie a causa della gestione della sessione danneggiata.”

Questo permette ad un attaccante di ricevere informazioni riguardo all’account fornito ed ai baby monitors connessi. Le informazioni ricevute con questa funzione sono sufficienti a vedere ed interagire con tutti i baby monitors connessi per l’UID fornito.”

Ora posso accettare(ma non mi piace) che i dispositivi IoT possano avere vulnerabilità. Posso anche credere(ma non mi piace proprio) che ci siano dispositivi abilitati ad internet in circolazione che sono indirizzati ai genitori che vogliano proteggere i propri bambini, e comunque hanno fallito nel trattare la sicurezza come priorità.

Ciò che mi da fastidio è la risposta che i ricercatori hanno ricevuto dai creatori della Mi-Cam. Nonostante i tentativi di comunicare responsabilmente le vulnerabilità a MiSafes da Dicembre 2017, ed al Chinese Computer Emergency Response Team, così che potessero essere sistemati come priorità…tutto ciò che hanno ricevuto come risposta è silenzio.

Ecco perchè i ricercatori hanno presentato le loro scoperte questa settimana alla conferenza sul cybercrimine a Vienna, e reso pubbliche le loro preoccupazioni.

Secondo loro i problemi resteranno nel prodotto, e non c’è una data in cui verranno sistemati, il loro consiglio è che i clienti dovrebbero tenere i baby monitors offline fino a successive notizie.

La cosa preoccupante è che questo è solo l’ultimo di una lunga serie di dispositivi IoT che hanno iniziato a crollare quando si tratta di privacy e sicurezza. Ce ne saranno senza dubbio molti altri. Ricordalo la prossima volta che compri una IP camera economica su Amazon.

Info sull'autore

Fang administrator

Commenta